Человеческий фактор в обеспечении информационной безопасности

Человеческий фактор в обеспечении информационной безопасности.

Безопасность в сфере информационных технологий - это комплекс мер, и она должна восприниматься как система. Существует много различного защитного ПО, каждое из которых выполняет определенные функции и направлено на решение определенных задач. Однако можно использовать самое лучшее ПО, в котором применяются самые передовые технологии, криптостойкие алгоритмы, но при этом нельзя быть уверенным на все 100%, что наша система неуязвима. Потому что в реализации всех решений и применении их на практике участвуют люди, а людям свойственно ошибаться. Человек, являясь частью системы, был и остается самым уязвимым местом в системе безопасности.

Человеческий фактор является причиной успеха многих атак, и тому есть масса примеров.

Профессиональная деятельность персонала в информационных системах и сетях, разумеется, регламентирована нормами и правилами выполнения функциональных задач. Любые нарушения, отклонения от нормативной деятельности можно трактовать либо как умышленные действия, либо как непреднамеренные, зачастую случайные ошибки. Это два главных класса угроз безопасности. И те, и другие могут приводить к непоправимым последствиям. Чем более критичен элемент информационной инфраструктуры для жизнедеятельности общества и государства, тем более существенен ущерб, наносимый этими нарушениями. Возможность нарушений делает профессиональную деятельность персонала одним из самых уязвимых звеньев в человеко-машинных системах обработки и передачи информации.

Виды умышленных действий персонала весьма разнообразны и зависят, разумеется, от профессионального статуса человека и занимаемого им места в должностной иерархии. Тем не менее, можно выделить следующие основные осознанные действия, предпринимаемые человеком большей частью из корыстных побуждений:

несанкционированный доступ к информации с целью осознанного уничтожения, хищения или копирования информации, всех тщательно охраняемых секретов, в том числе паролей, ключей и т.п.;
модификация информации, нарушение ее целостности, подделка, изменение дат, видоизменение расчетных или статистических данных, все то, что искажает содержание информации;
хищение или вывод из строя носителей информации;
хищение, вывод из строя или модификация программного обеспечения; хищение или разрушение аппаратных средств или другого технологического оборудования, в том числе систем защиты информации, например, системы доступа;

· нарушение технологии, алгоритмов и процедур решения функциональных задач.

Противодействие умышленным действиям состоит в предотвращении или минимизации причин ошибок. Распространенный подход к решению этой задачи состоит в оценке лояльности персонала, что практически означает оценку возможности доверить тому или иному лицу выполнение ответственных функциональных задач в информационной системе. Как считают многие специалисты, главной проблемой здесь остается определение личной предрасположенности или готовности человека к совершению умышленных неправомерных действий. Это сложная задача, поскольку ни наблюдение за поведением, ни специальные методы профессиональной психодиагностики, включая полиграф, методы психологического и психофизиологического отбора не могут дать стопроцентную гарантию лояльности человека.

Так же существуют непреднамеренные ошибки эти ошибки совершаются неумышленно, но, к сожалению, результат ошибочных действий осознается только после их совершения. Они чаще всего носят случайный характер, хотя иногда их можно квалифицировать как систематические. Главными причинами, которыми они вызываются, являются профессиональная некомпетентность, чаще всего как следствие недостаточного уровня подготовки, халатность или неготовность к деятельности из-за текущего функционального состояния. Эти ошибки также должны рассматриваться как факторы риска. Они свойственны, как правило, оперативному и обслуживающему персоналу. Типичные следствия таких ошибок:

искажение или потеря информации;
вывод из строя или разрушение носителей информации;
вывод из строя или разрушение программных или технических средств;
нарушение технологии, алгоритмов или/и процедур выполнения функциональных задач.

Меры предотвращения угроз безопасности персонала информационных систем, связанных с непреднамеренными ошибками, должны предусматривать соблюдение эргономических требований в части допустимой информационной нагрузки, обеспечения комфортных условий работы и дружественности пользовательского интерфейса, требований к режиму труда и отдыха.

Для информационных систем критически важных объектов информационной инфраструктуры необходимо проводить отбор по выделенным профессионально-важным качествам в такой же степени, в какой производится отбор оперативного персонала для автоматизированных систем специального назначения.

Меры предотвращения угроз безопасности, связанных с умышленными действиями, должны предусматривать психологическую диагностику индивидуально-личностных особенностей и, в первую очередь, свойств личности (мотивов, ценностных ориентаций, целевой направленности и др.), а также соответствующий психологический отбор с целью обеспечения необходимого уровня лояльности персонала. Важная роль принадлежит также обеспечению психологической совместимости в рабочих коллективах и созданию в организации благоприятного социально-психологического климата.

Список использованной литературы:

1. Человеческий фактор в сфере ИБ/ Способ доступа: URL http://emag.iis.ru/arc/infosoc/emag.nsf/BPA/03a9dfb8b576994dc3256d5700403104

2. Информационно-психологическая безопасность: основные понятия / Г.М. Зараковский., Г.Л. Смолян // Психология и безопасность организаций: Сб. науч. тр. / Под ред. А.В. Брушлинского и В.Е. Лепского. – М., 1997.

3. Безопасность и человек/ Способ доступа: URL http://www.bezpeka.com/ru/news/2003/02/06/972.html